개요

레이어 2 VPN

라우터에서 레이어 2 VPN을 구현하는 것은 ATM 또는 프레임 릴레이와 같은 레이어 2 기술을 사용하여 VPN을 구현하는 것과 유사합니다. 그러나 라우터의 레이어 2 VPN의 경우, 트래픽은 레이어 2 형식으로 라우터에 전달됩니다. 이는 서비스 프로바이더의 네트워크를 통해 MPLS에 의해 전달된 다음 수신 사이트에서 레이어 2 형식으로 다시 변환됩니다. 송신 및 수신 사이트에서 서로 다른 레이어 2 형식을 구성할 수 있습니다. MPLS 레이어 2 VPN의 보안 및 개인 정보 보호는 ATM 또는 프레임 릴레이 VPN과 동일합니다.

레이어 2 VPN에서 라우팅은 고객의 라우터(일반적으로 CE 라우터)에서 발생합니다. 레이어 2 VPN의 서비스 프로바이더에 연결된 CE 라우터는 트래픽을 전송할 적절한 회로를 선택해야 합니다. 트래픽을 수신하는 PE 라우터는 서비스 프로바이더의 네트워크를 통해 수신 사이트에 연결된 PE 라우터로 트래픽을 보냅니다. PE 라우터는 고객의 경로를 저장하거나 처리할 필요가 없습니다. 적절한 터널로 데이터를 전송하도록 구성하기만 하면 됩니다.

레이어 2 VPN의 경우, 고객은 모든 레이어 3 트래픽을 전송하도록 자체 라우터를 구성해야 합니다. 서비스 프로바이더는 레이어 2 VPN이 얼마나 많은 트래픽을 전송해야 하는지만 알면 됩니다. 서비스 프로바이더의 라우터는 레이어 2 VPN 인터페이스를 사용하여 고객 사이트 간에 트래픽을 전달합니다. VPN 토폴로지는 PE 라우터에 구성된 정책에 따라 결정됩니다.

레이어 3 VPN

레이어 3 VPN에서 라우팅은 서비스 프로바이더의 라우터에서 발생합니다. 따라서 레이어 3 VPN은 서비스 프로바이더의 PE 라우터가 고객의 경로를 저장하고 처리해야 하기 때문에 서비스 프로바이더 측에서 더 많은 구성을 필요로 합니다.

Junos OS에서 레이어 3 VPN은 RFC 4364, BGP/MPLS IP VPN(가상 사설망)을 기반으로 합니다. 이 RFC는 서비스 프로바이더가 IP 백본을 사용하여 고객에게 레이어 3 VPN 서비스를 제공할 수 있는 메커니즘을 정의합니다. 레이어 3 VPN을 구성하는 사이트는 프로바이더의 기존 퍼블릭 인터넷 백본을 통해 연결됩니다.

RFC 4364를 기반으로 하는 VPN은 BGP/MPLS VPN으로도 알려져 있습니다. BGP는 프로바이더의 백본을 통해 VPN 라우팅 정보를 배포하는 데 사용되고, MPLS는 백본을 통해 원격 VPN 사이트로 VPN 트래픽을 전달하는 데 사용되기 때문입니다.

고객 네트워크는 비공개이므로 RFC 1918, 사설 인터넷에 대한 주소 할당에 정의된 대로 공용 주소 또는 개인 주소를 사용할 수 있습니다. 프라이빗 주소를 사용하는 고객 네트워크가 퍼블릭 인터넷 인프라에 연결할 때 프라이빗 주소가 다른 네트워크 사용자가 사용하는 프라이빗 주소와 겹칠 수 있습니다. BGP/MPLS VPN은 특정 VPN 사이트의 각 주소에 VPN 식별자를 접두사로 붙여서 VPN 내에서, 그리고 공용 인터넷 내에서나 고유한 주소를 생성함으로써 이 문제를 해결합니다. 또한 각 VPN에는 해당 VPN에 대한 라우팅 정보만 포함하는 고유한 VPN 관련 라우팅 테이블이 있습니다.

증권 시세 표시기

VPLS(Virtual Private LAN Service)를 사용하면 지리적으로 분산된 고객 사이트를 동일한 LAN에 연결된 것처럼 연결할 수 있습니다. 여러모로 레이어 2 VPN처럼 작동합니다. VPLS 및 레이어 2 VPN은 동일한 네트워크 토폴로지를 사용하며 유사하게 기능합니다. 고객의 네트워크 내에서 시작된 패킷이 먼저 고객 에지(CE) 디바이스로 전송됩니다. 그런 다음 서비스 프로바이더의 네트워크 내 PE 라우터로 전송됩니다. 패킷은 MPLS LSP를 통해 서비스 프로바이더의 네트워크를 트래버스합니다. 송신 PE 라우터에 도착하면 대상 고객 사이트의 CE 디바이스로 트래픽을 전달합니다.

VPLS의 주요 차이점은 패킷이 포인트 투 멀티포인트 방식으로 서비스 프로바이더의 네트워크를 통과할 수 있다는 것입니다. 즉, CE 디바이스에서 시작된 패킷이 VPLS의 PE 라우터로 브로드캐스트될 수 있다는 것입니다. 반면, 레이어 2 VPN은 포인트 투 포인트 방식으로만 패킷을 전달합니다. 레이어 2 VPN이 제대로 작동하려면 PE 라우터가 CE 디바이스에서 수신한 패킷의 목적지를 알아야 합니다.

레이어 3 네트워크에서만 VPLS(Virtual Private LAN Service)를 구성하여 지리적으로 분산된 이더넷 LAN(Local Area Network) 사이트를 MPLS 백본을 통해 서로 연결할 수 있습니다. VPLS를 구현하는 ISP 고객의 경우, 트래픽이 서비스 프로바이더의 네트워크를 통해 이동하더라도 모든 사이트가 동일한 이더넷 LAN에 있는 것처럼 보입니다. VPLS는 MPLS 지원 서비스 프로바이더 네트워크를 통해 이더넷 트래픽을 전송하도록 설계되었습니다. 특정 방식으로 VPLS는 이더넷 네트워크의 동작을 모방합니다. VPLS 라우팅 인스턴스로 구성된 PE 라우터는 고객 에지(CE) 디바이스에서 패킷을 수신하면 먼저 VPLS 패킷의 대상에 대한 적절한 라우팅 테이블을 확인합니다. 라우터에 목적지가 있는 경우, 적절한 PE 라우터로 전달합니다. 대상이 없는 경우 동일한 VPLS 라우팅 인스턴스의 구성원인 다른 모든 PE 라우터에 패킷을 브로드캐스트합니다. PE 라우터는 패킷을 CE 장치로 전달합니다. 패킷의 의도된 수신자인 CE 디바이스는 패킷을 최종 대상으로 전달합니다. 다른 CE 디바이스는 이를 폐기합니다.

가상 라우터 라우팅 인스턴스

VPN 라우팅 및 포워딩(VRF) 라우팅 인스턴스와 같은 가상 라우터 라우팅 인스턴스는 각 인스턴스에 대해 별도의 라우팅 및 포워딩 테이블을 유지 관리합니다. 그러나 VRF 라우팅 인스턴스에 필요한 많은 구성 단계는 가상 라우터 라우팅 인스턴스에 필요하지 않습니다. 특히, P 라우터 간에 경로 식별자, 라우팅 테이블 정책( vrf-export, vrf-import및 route-distinguisher 문) 또는 MPLS를 구성할 필요가 없습니다.

그러나 가상 라우터 라우팅 인스턴스에 참여하는 각 서비스 프로바이더 라우터 간에 별도의 논리적 인터페이스를 구성해야 합니다. 또한 각 라우팅 인스턴스에 참여하는 서비스 프로바이더 라우터와 고객 라우터 간에 별도의 논리적 인터페이스를 구성해야 합니다. 각 가상 라우터 인스턴스에는 참여하는 모든 라우터에 대한 고유한 논리적 인터페이스 집합이 필요합니다.

그림 1 은 작동 방식을 보여 줍니다. 서비스 프로바이더 라우터 G 및 H는 가상 라우터 라우팅 인스턴스 Red 및 Green에 대해 구성됩니다. 각 서비스 프로바이더 라우터는 각 라우팅 인스턴스에 하나씩 총 두 개의 로컬 고객 라우터에 직접 연결됩니다. 서비스 프로바이더 라우터는 또한 서비스 프로바이더 네트워크를 통해 서로 연결됩니다. 이러한 라우터에는 4개의 논리적 인터페이스가 필요합니다. 하나는 로컬에 연결된 각 고객 라우터에 대한 논리적 인터페이스 이고, 다른 하나는 각 가상 라우터 인스턴스에 대해 두 서비스 프로바이더 라우터 간에 트래픽을 전달하는 논리적 인터페이스입니다.

그림 1: 가상 라우터 라우팅 인스턴스 의 라우터당 논리적 인터페이스

레이어 3 VPN에는 이러한 구성 요구 사항이 없습니다. PE 라우터에 여러 레이어 3 VPN 라우팅 인스턴스를 구성하는 경우, 모든 인스턴스가 동일한 논리적 인터페이스를 사용하여 다른 PE 라우터에 도달할 수 있습니다. 이는 레이어 3 VPN이 다양한 라우팅 인스턴스로 송수신되는 트래픽을 구별하는 MPLS(VPN) 레이블을 사용하기 때문에 가능합니다. 가상 라우터 라우팅 인스턴스에서와 같이 MPLS 및 VPN 레이블이 없으면 서로 다른 인스턴스의 트래픽을 분리하기 위해 별도의 논리적 인터페이스가 필요합니다.

서비스 프로바이더 라우터 간에 이러한 논리적 인터페이스를 제공하는 한 가지 방법은 라우터 사이에 터널을 구성하는 것입니다. 서비스 프로바이더 라우터 간에 IP 보안(IPsec), 일반 라우팅 캡슐화(GRE) 또는 IP-IP 터널을 구성하여 가상 라우터 인스턴스에서 터널을 종료할 수 있습니다.

레이어 3 VPN의 구성 요소

MPLS VPN에는 레이어 2 VPN, 레이어 2 회로 및 레이어 3 VPN의 세 가지 주요 유형이 있습니다. 모든 유형의 MPLS VPN은 다음과 같은 특정 구성 요소를 공유합니다.

• CE 디바이스—프로바이더의 네트워크에 연결하는 고객 프레미스의 고객 에지(CE) 디바이스입니다. 일부 모델에서는 이러한 장치를 CPE(Customer Premises Equipment) 장치라고 합니다.

• 고객 네트워크 - VPN에 속하는 CE 디바이스가 있는 고객 사이트.

• Provider network(프로바이더 네트워크) - MPLS 백본을 실행하는 서비스 프로바이더 백본 네트워크입니다.

• P 디바이스—프로바이더의 네트워크 코어 내에 있는 프로바이더(P) 디바이스. 공급자 디바이스는 고객 사이트의 어떤 디바이스에도 연결되지 않으며 PE 디바이스 쌍 간 터널의 일부입니다. 공급자 디바이스는 터널 지원의 일부로 LSP(Label-Switched Path) 기능을 지원하지만 VPN 기능은 지원하지 않습니다.

• PE 디바이스—고객 사이트의 CE 디바이스에 직접 연결되는 서비스 프로바이더 코어 네트워크 내의 PE(Provider Edge) 디바이스입니다.

• MP-BGP— PE 디바이스는 MP-BGP를 사용하여 MPLS 백본을 통해 적절한 PE 디바이스로 고객 경로를 배포합니다.

레이어 3 VPN 용어

VPN은 네트워크의 구성 요소를 식별하기 위해 고유한 용어를 사용합니다.

• IP 라우팅 테이블(전역 라우팅 테이블이라고도 함) - 이 테이블에는 VRF에 포함되지 않은 서비스 프로바이더 경로가 포함되어 있습니다. 공급자 디바이스는 서로 연결할 수 있으려면 이 테이블이 필요하고, 특정 VPN의 모든 고객 디바이스에 연결하려면 VRF 테이블이 필요합니다. 예를 들어, CE 라우터에 대한 인터페이스 A와 백본 P 라우터에 인터페이스 B가 있는 PE 라우터는 VRF에 인터페이스 A 주소를 배치하고 글로벌 IP 라우팅 테이블에 인터페이스 B 주소를 배치합니다.

• Route Distinguisher(경로 구분자) - IP 주소 앞에 추가되는 64비트 값입니다. 이 고유한 태그는 패킷이 동일한 서비스 프로바이더 터널을 통해 흐를 때 다양한 고객의 경로를 식별하는 데 도움이 됩니다.

  일반적인 전송 네트워크는 두 개 이상의 VPN을 처리하도록 구성되므로 공급자 라우터에는 여러 VRF 인스턴스가 구성되어 있을 가능성이 높습니다. 그 결과, 트래픽의 출발지와 트래픽에 적용된 필터링 규칙에 따라 BGP 라우팅 테이블은 특정 목적지 주소에 대한 여러 경로를 포함할 수 있습니다. BGP에서는 목적지당 정확히 하나의 BGP 경로를 포워딩 테이블로 가져와야 하므로, BGP는 서로 다른 VPN에서 수신된 잠재적으로 동일한 NLRI(Network Layer Reachability Information) 메시지를 구별할 수 있는 방법이 있어야 합니다.

  경로 식별자는 특정 VPN에 대한 모든 경로 정보를 식별하는 로컬 고유 번호입니다. 고유한 숫자 식별자를 통해 BGP는 동일한 경로를 구별할 수 있습니다.

  PE 라우터에서 구성하는 각 라우팅 인스턴스에는 고유한 경로 식별자가 있어야 합니다. 다음과 같은 두 가지 형식을 사용할 수 있습니다.

  • as-number:number- 여기서, 은(는) as-number 1에서 65,535 사이의 AS(Autonomous System) 번호(2바이트 값)이고, number 은(는) 임의의 4바이트 값입니다. IANA(Internet Assigned Numbers Authority)가 할당한 비개인 AS 번호, 가급적 ISP 또는 고객 AS 번호를 사용하는 것이 좋습니다.

  • ip-address:number- 여기서, 은(는) IP 주소(4바이트 값)이고number, ip-address 은(는) 임의의 2바이트 값입니다. IP 주소는 전역적으로 고유한 유니캐스트 주소가 될 수 있습니다. 라우터 ID 문에 구성한 주소를 사용하는 것이 좋습니다. 이 주소는 할당된 접두사 범위의 공용 IP 주소입니다.

• RT(Route Target) - 복잡한 경로 공유를 활성화하기 위해 특정 VRF에서 고객 경로에 대한 최종 송신 PE 디바이스를 식별하는 데 사용되는 64비트 값입니다. 경로 대상은 어떤 경로가 VPN의 일부인지 정의합니다. 고유한 경로 대상은 동일한 라우터에서 서로 다른 VPN 서비스를 구별하는 데 도움이 됩니다. 또한 각 VPN에는 라우터의 VRF 테이블로 경로를 가져오는 방법을 정의하는 정책이 있습니다. 레이어 2 VPN은 내보내기 및 가져오기 정책으로 구성됩니다. 레이어 3 VPN은 고유한 경로 대상을 사용하여 VPN 경로를 구별합니다. 예를 들어, RT를 사용하면 공유 서비스 네트워크의 경로를 여러 고객에게 공유할 수 있습니다. 각 VPN 경로에는 하나 이상의 RT가 있을 수 있습니다. PE 디바이스는 RT를 확장된 BGP 커뮤니티 값으로 처리하고 RT를 사용하여 고객 경로를 설치합니다.

• VPN-IPv4 경로 - 32비트 IPv4 주소 앞에 추가된 64비트 RD 태그로 구성된 96비트 시퀀스로 구성된 경로입니다. PE 디바이스는 IBGP 세션의 VPN-IPv4 경로를 다른 공급자 디바이스로 내보냅니다. 이러한 경로는 iBGP를 사용하여 MPLS 백본에서 교환됩니다. 아웃바운드 PE 디바이스가 경로를 수신하면 경로 식별자를 제거하고 일반적으로 표준 BGP IPv4 경로 알림을 통해 연결된 CE 디바이스에 경로를 보급합니다.

• VRF - VRF(가상 라우팅 및 포워딩) 테이블은 다양한 고객의 경로와 PE 디바이스의 프로바이더 경로에서 고객 경로를 구분합니다. 이러한 경로에는 중복되는 프라이빗 네트워크 주소 공간, 고객별 공용 경로 및 고객에게 유용한 PE 디바이스의 공급자 경로가 포함될 수 있습니다.

  VRF 인스턴스는 하나 이상의 라우팅 테이블, 파생된 포워딩 테이블, 포워딩 테이블 사용하는 인터페이스, 포워딩 테이블에 들어가는 것을 결정하는 정책 및 라우팅 프로토콜로 구성됩니다. 각 인스턴스가 특정 VPN에 대해 구성되기 때문에 각 VPN에는 해당 작업을 제어하는 별도의 테이블, 규칙 및 정책이 있습니다.

  CE 라우터에 연결된 각 VPN에 대해 별도의 VRF 테이블이 생성됩니다. VRF 테이블은 VRF 인스턴스와 연결된 직접 연결된 CE 사이트에서 수신한 경로와 동일한 VPN의 다른 PE 라우터에서 수신한 경로로 채워집니다.

레이어 3 VPN 아키텍처

레이어 3 VPN은 고객 에지 라우터(CE 라우터)를 서비스 프로바이더 네트워크(PE 라우터)의 에지에 있는 라우터에 연결합니다. 레이어 3 VPN은 직접 연결되는 로컬 PE와 CE 라우터 간의 피어 라우팅 모델을 사용합니다. 즉, PE 및 CE 라우터 페어를 연결하기 위해 프로바이더 백본에서 여러 홉이 필요하지 않습니다. PE 라우터는 BGP 경로 구분자를 기반으로 동일한 VPN에 속한 모든 CE 라우터에 로컬 및 공급자 네트워크 전반에 걸쳐 라우팅 정보를 배포합니다. 각 VPN에는 해당 VPN에 대한 자체 라우팅 테이블이 있으며, 이는 CE 및 PE 피어 라우터의 라우팅 테이블과 조정됩니다. CE 및 PE 라우터는 서로 다른 VRF 테이블을 가지고 있습니다. 다른 VPN은 CE에 표시되지 않기 때문에 각 CE 라우터에는 단일 VRF 테이블만 있습니다. PE 라우터는 하나 이상의 CE 라우터에 연결할 수 있으므로, PE 라우터는 VPN으로 연결된 각 CE에 대한 일반 IP 라우팅 테이블과 VRF 테이블을 가지고 있습니다.

그림 2 는 레이어 3 VPN의 일반적인 아키텍처를 보여줍니다.

그림 2: 일반 레이어 3 VPN 아키텍처

PE 라우터는 원격 VPN 사이트에서 도착하는 패킷에 어떤 VRF 테이블을 사용할지 알고 있습니다. 모든 VRF 테이블에는 히트와 연관된 하나 이상의 확장 커뮤니티 속성이 있기 때문입니다. 커뮤니티 속성은 경로가 특정 라우터 모음에 속하는 것으로 식별합니다. 경로 대상 커뮤니티 속성은 PE 라우터가 경로를 배포하는 사이트 모음(보다 정확하게는 VRF 테이블 모음)을 식별합니다. PE 라우터는 경로 대상을 사용하여 올바른 원격 VPN 경로를 VRF 테이블로 가져옵니다.

VPN 사이트 간 VPN 경로 가져오기 및 내보내기는 자동으로 수행되지 않습니다. 이 프로세스는 BPG 라우팅 정책에 의해 제어됩니다. 라우팅 정책은 서비스 프로바이더의 MPLS 네트워크 전반에서 라우팅 정보를 교환하기 위한 규칙을 설정하며, 네트워크 토폴로지가 변경될 때 올바르게 구성되고 유지되어야 합니다.

PE 라우터는 피어 CE 라우터가 발표하고 PE 라우터가 수신하는 IPv4 경로를 VPN-IPv4 경로로 분류합니다. 수신 PE 라우터가 직접 연결된 피어 CE 라우터에서 보급된 경로를 수신하면 수신 PE 라우터는 해당 VPN에 대한 VRF 내보내기 정책에 대해 수신된 경로를 확인합니다. 즉, 수신 PE 라우터는 어떤 원격 PE 라우터가 보급된 경로에 대해 알아야 할지 결정합니다. 이는 2단계 프로세스입니다.

• 설정된 내보내기 정책이 경로를 허용하면 PE 라우터는 IPv4 주소에 경로 식별자를 추가하여 정보를 VPN-IPv4 형식으로 변환합니다. 그런 다음 PE 라우터는 원격 PE 라우터에 VPN-IPv4 경로를 알립니다. VRF 테이블에 구성된 내보내기 대상 정책은 첨부된 경로 대상의 값을 결정합니다. IBGP 세션은 서비스 프로바이더의 코어 네트워크에 VNP-IPv4 경로를 배포합니다.

• 설정된 내보내기 정책이 경로를 허용하지 않는 경우, PE 라우터는 경로를 다른 PE 라우터로 내보내지 않지만 PE 라우터는 해당 경로를 로컬에서 사용합니다. 예를 들어, 동일한 VPN에 있는 두 개의 CE 라우터가 동일한 PE 라우터에 직접 연결되어 일반 트래픽이 한 CE 사이트에서 다른 사이트로 흐를 수 있습니다.

서비스 프로바이더 네트워크의 반대편에 있는 송신 PE 라우터가 경로를 수신하면 송신 PE 라우터는 PE 라우터 사이에 배치된 IBGP 가져오기 정책에 대해 경로를 확인합니다. 송신 PE 라우터가 경로를 수락하면, 송신 PE 라우터는 bgp.l3vpn.0 라우팅 테이블에 경로를 추가합니다. 라우터는 또한 VPN의 VRF 가져오기 정책에 대해 경로를 확인합니다. 경로가 수락되면 송신 PE 라우터는 경로 식별자를 제거하고 경로를 올바른 VRF 테이블에 배치합니다. VRF 테이블은 routing-instance-name.inet.0 명명 규칙을 사용하므로 "VPN A"는 일반적으로 테이블을 vpna.inet.0으로 구성합니다.